CVE-2013-0422 in Javaالمعلومات

الملخص

بحسب VulDB • 09/06/2026

تتيح ثغرات متعددة في Oracle Java 7 قبل الإصدار التحديثي 11 لمهاجمين عن بُعد تنفيذ شيفرة عشوائية من خلال (1) استخدام الطريقة العامة getMBeanInstantiator الموجودة في فئة JmxMBeanServer للحصول على مرجع إلى كائن MBeanInstantiator الخاص، ثم استرجاع مراجع فئات عشوائية باستخدام طريقة findClass؛ و(2) استخدام واجهة برمجة التطبيقات الخاصة بالانعكاس (Reflection API) مع تكرار بطريقة تتجاوز فحص الأمان الذي تقوم به الطريقة checkSecurityManager التابعة لفئة java.lang.invoke.MethodHandles.Lookup بسبب عدم قدرة الطريقة sun.reflect.Reflection.getCallerClass على تخطي الإطارات المتعلقة بواجهة برمجة التطبيقات الجديدة للانعكاس، كما تم استغلالها في البرية خلال يناير 2013، وذلك بما أظهرته هجمات Blackhole وNuclear Pack. وتختلف هذه الثغرة عن CVE-2012-4681 وCVE-2012-3174. ملاحظة: قامت بعض الجهات بربط مشكلة واجهة برمجة التطبيقات الخاصة بالانعكاس المتكررة (recursive Reflection API) بـ CVE-2012-3174، لكن CVE-2012-3174 تتعلق بثغرة مختلفة لا تزال تفاصيلها غير متاحة للجمهور اعتباراً من 14 يناير 2013. يغطي CVE-2013-0422 كلاً من مشكلتي JMX/MBean وواجهة برمجة التطبيقات الخاصة بالانعكاس (Reflection API). ملاحظة: كان قد أُبلغ في الأصل عن أن Java 6 أيضاً عرضة للخطر، لكن المُبلّغ سحب هذا الادعاء، معلناًً بأن Java 6 غير قابل للاستغلال لأن الشيفرة ذات الصلة تُستدعى بطريقة لا تتجاوز فحوصات الأمان. ملاحظة: اعتباراً من 14 يناير 2013، زعم طرف ثالث موثوق أن متجه findClass/MBeanInstantiator لم يتم إصلاحه في Oracle Java 7 Update 11. إذا كانت هناك حالة ثغرة قائمة بعد ذلك، فقد يُنشأ معرّف CVE منفصل للمشكلة غير المُصلحة.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

حجز

07/12/2012

إفشاء

10/01/2013

الاعتدال

تمت الموافقة

إدخال

VDB-7313

استغلال

تحميل

EPSS

0.97612

KEV

نعم

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!